Посмотрел данные Шамана — попал под суд. Почему за обычные действия на работе теперь грозит срок

Юристы и эксперты по информационной безопасности предупредили, что новая уголовная норма о незаконном сборе и обработке персональных данных все чаще применяется не только против владельцев сервисов для «пробива», но и в ситуациях, связанных с небольшими корпоративными утечками и ошибками сотрудников. Как отмечают собеседники РБК, под уголовное преследование по этой статье могут попадать рядовые работники, допустившие незначительные нарушения.

Речь идет о статье 272.1 УК РФ «Незаконные использование, передача, сбор и хранение компьютерной информации, содержащей персональные данные», которая вступила в силу 9 декабря 2024 года. Изначально она вводилась как мера ответственности за создание или использование сервисов (в том числе ботов), предназначенных для незаконного распространения персональных данных. По данным МВД, за десять месяцев 2025 года по статье 272.1 зарегистрировано 923 преступления.

При этом, по данным РБК, к ответственности по статье 272.1 начали привлекать и тех, кто не связан с «ботами для пробива». В качестве примеров приводятся случаи в Кировской области и Кировске: в марте 2025 года сотрудника салона связи задержали за передачу через мессенджер нескольких десятков записей с персональными данными, а в том же месяце в Кировске 20-летнего работника салона сотовой связи обвинили в передаче персональных данных певца Shaman (Ярослава Дронова) и других абонентов. В ноябре по той же статье в Башкирии задержали 38-летнего мужчину, который с помощью спецоборудования активировал тысячи SIM-карт. Также упоминается случай в Перми, где суд отправил под домашний арест начальницу отдела судебных приставов в одном из районов Перми Надежду Шабунину.

Отдельные риски, как следует из исследования RTM Group (его копия есть у РБК), связаны с применением статьи 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру». Эта норма действует с 2018 года и применяется, в том числе, к инсайдерам, чьи действия могут быть квалифицированы как посягательство на критическую информационную инфраструктуру (к ней относят информационные системы и сети связи госорганов, а также компаний из энергетики, финансов, медицины, транспорта и ряда других сфер). Управляющий RTM Group Евгений Царев в разговоре с изданием отметил, что даже действия вроде подключения личного носителя на объекте КИИ или передачи пароля коллеге могут трактоваться как уголовно наказуемые.

По подсчетам RTM Group, с 1 января 2018 года по 31 октября 2025 года суды рассмотрели 325 уголовных дел по статье 274.1, и по 243 из них вынесли обвинительные приговоры, что составляет 75% от общего числа. В исследовании говорится, что значимую часть угроз для критической информационной инфраструктуры составляют инсайдеры: в 160 делах (почти 50%) фигурирует признак «использования служебного положения». Чаще всего к ответственности, по данным RTM Group, привлекают рядовых сотрудников банков, операторов связи, медицинских учреждений и почты. В качестве мотивов упоминаются корысть, «помощь другу» или стремление выполнить план.

Аналитики RTM Group также прогнозируют рост числа приговоров по статьям 274.1 и 272.1: по их оценке, совокупный показатель может увеличиться в десять раз в ближайшие три-четыре года. Ключевым фактором они называют более активное применение статьи 272.1, которая в 2025 году, как формулируется в материале, проходила «обкатку».

Опрошенные РБК юристы отмечают, что статьи 272.1 и 274.1 сформулированы как «рамочные» нормы с достаточно абстрактными критериями, поэтому границы уголовной ответственности в практике могут трактоваться широко. По их словам, для квалификации по статье 272.1 не обязательно наступление реального ущерба: в ряде случаев достаточно самого факта неправомерного доступа к данным, а вопрос, что именно считать персональными данными в конкретной ситуации, во многом зависит от позиции следствия. При этом юристы подчеркивают, что бизнес больше тревожит не столько жесткость санкций, сколько предсказуемость правоприменения и понимание границы между административной и уголовной ответственностью. В части статьи 274.1 они указывают на незавершенность регулирования в сфере КИИ и считают, что это расширяет пространство для трактовок, включая случаи, когда нарушения в обработке данных могут квалифицироваться как преступление. Также звучит мнение, что новые нормы ограниченно решают задачу борьбы с «ботами для пробива», поскольку владельцы таких сервисов нередко остаются анонимными и могут находиться вне России.